A l'heure où le gouvernement remet sur la table l'idée d'un cloud souverain aujourd'hui porté par un tandem OVH/Outscale, le Sénat vient d'émettre un rapport sur la question plus globale de la souveraineté numérique. Fruit des travaux d'une commission d'enquête présidée par Franck Montaugé (sénateur du Gers, Socialiste et Républicain) et dont le rapporteur est Gérard Longuet (sénateur de La Meuse, LR), ce rapport a été remis au président du Sénat le 1er octobre 2019 avec - le ton est donné dès la 7e page du document - la volonté de faire changer les choses. « Des actions ont été entreprises depuis plus de 15 ans pour restaurer ou préserver la souveraineté numérique. Point cependant de stratégie globale lisible qui fédérerait les énergies et les efforts », peut-on lire dans le rapport.

Érigeant la souveraineté numérique en tant que « devoir national » et portant aux côtés de l'Assemblée Nationale une loi d'orientation et de suivi de la souveraineté numérique (LOSSN), le Sénat a souhaité « dès maintenant » partager des « mesures précises et urgentes » en matière de protection des données. Cela se concrétise en particulier sur la délivrance de 5 recommandations. « La stratégie gouvernementale pour la défense de la souveraineté numérique est dispersée entre souveraineté et libertés publiques, sécurité et défense, et présence économique effective sur un marché nécessairement mondial, ce qui la rend peu lisible », indique le rapport. Pour répondre à cet enjeu, le rapport propose ainsi tout d'abord de définir une stratégie nationale numérique au sein d'un Forum institutionnel temporaire du numérique. Ce dernier, d'une durée de vie limitée à 2 ans, ne partirait pas de zéro mais aurait tout simplement pour fondation l'actuel Conseil national du numérique. « Nous proposons la transformation du Conseil national du numérique en un Forum de concertation temporaire, force de propositions et d’impulsions fédératrices, pour renforcer l’approche transversale et interministérielle du numérique », poursuit le rapport. Rien n'est cependant précisé en matière d'évolution de la gouvernance et de ce qu'il adviendra de cette nouvelle instance en 2021.

Opposer fermement la législation nationale et européenne au Cloud Act

La deuxième proposition forte consiste à soutenir la loi d'orientation et de suivi de la souveraineté numérique (LOSSN) en qui de très grandes ambitions sont fondées. « A l’image de la loi de programmation militaire, elle garantirait davantage de lisibilité et de stabilité aux entreprises, et mettrait en œuvre un pilotage public plus rigoureux des innovations dans les secteurs et technologies essentiels à la défense de la souveraineté numérique française ». Parmi les mesures de cette future loi, rendre attractif le territoire pour la destination de câbles sous-marins, datacenters et fibre optique ainsi que l'accélération de la couverture numérique du territoire. Mais ce n'est pas tout : « Cette loi inclurait le financement de solutions répondant aux attaques qui visent notre modèle de société et qui fragilisent notre souveraineté : fournir une carte d’identité électronique ; élaborer une cryptomonnaie publique sous l’égide de la Banque centrale européenne et à laquelle pourraient collaborer les banques centrales des pays non membres de la zone euro (ex. Suisse, Royaume-Uni, Suède, Danemark) ».

La troisième recommandation du rapport de la Commission du Sénat sur la souveraineté du numérique porte sur l'épineux enjeu de la protection des données personnelles et économiques stratégiques. « Une obligation de localisation des données sur le territoire national peut être justifiée par des motifs de sécurité publique, mais ce n’est qu’une solution imparfaite ; il convient de cartographier et de faire émerger des solutions pour l’hébergement et le stockage des données sensibles autour de prestataires français et européens non soumis aux législations étrangères à portée extraterritoriale », indique le rapport. « Parallèlement, il est essentiel d’opposer fermement notre législation nationale et européenne au Cloud Act ou à toutes autres normes se voulant porteuse d’un ordre juridique extraterritorial. »

Promouvoir la vision française en cybersécurité

La quatrième recommandation, portant sur l'adaptation de la réglementation aux défis numériques, est quant à elle articulé autour de quatre axes : muscler le droit de la concurrence aux niveaux national et européen, réguler par la donnée, étudier la faisabilité de nouvelles régulations sectorielles ainsi que des obligations proactives spécifiques et multisectorielles pour les acteurs du numérique. « Le renforcement de la portabilité des données et de l’interopérabilité des plateformes doit être recherché. L’auditabilité et la redevabilité des algorithmes utilisés doivent être des objectifs du législateur. Cela suppose de permettre l’accès des chercheurs ou d’organismes publics à ces algorithmes pour évaluer et garantir leur transparence, leur intelligibilité, leur conformité à la loi, la non-discrimination, et leur loyauté », peut-on également lire dans le rapport. 

La dernière recommandation porte sur l'utilisation de leviers de « l'innovation et du multilatéralisme », tant au niveau national qu'européen, et la promotion de la vision française en matière de cybersécurité. Un point de vue qui n'est pas sans faire écho au rapport « Droit international appliqué aux opérations dans le cyberespace » tout récemment publié sous l'impulsion du ministre des Armées, du Comcyber et de la DGRIS (direction générale des relations internationales et de la stratégie).